4
Dos Gefahr und SSL Bericht
Hallo zusammen,
ich habe gerade SSL Labs mit diesem Forum gefüttert und da kam folgendes heraus:
(Quelle: https://www.ssllabs.com/ssltest/analyze.html?d=administrator.de)
Bewertung: A-
The server does not support Forward Secrecy with the reference browsers. (administrator.de untersützt kein Forward Secrecy)
Equifax / Equifax Secure Certificate Authority: WEAK KEY (Schwacher Schlüssel)
Secure Client-Initiated Renegotiation Supported DoS DANGER (more info)
Das letzte ist das "schlimmste": Der SSL Port kann als Dos Einfallstor dienen.
Mehr Infos auf: https://www.thc.org/thc-ssl-dos/
Ich wollte nun fragen, ob wirklich Dos Gefahr besteht und wenn ob es behoben wird.
Alme123
ich habe gerade SSL Labs mit diesem Forum gefüttert und da kam folgendes heraus:
(Quelle: https://www.ssllabs.com/ssltest/analyze.html?d=administrator.de)
Bewertung: A-
The server does not support Forward Secrecy with the reference browsers. (administrator.de untersützt kein Forward Secrecy)
Equifax / Equifax Secure Certificate Authority: WEAK KEY (Schwacher Schlüssel)
Secure Client-Initiated Renegotiation Supported DoS DANGER (more info)
Das letzte ist das "schlimmste": Der SSL Port kann als Dos Einfallstor dienen.
Mehr Infos auf: https://www.thc.org/thc-ssl-dos/
Ich wollte nun fragen, ob wirklich Dos Gefahr besteht und wenn ob es behoben wird.
Alme123
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 229830
Url: https://administrator.de/contentid/229830
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
4 Kommentare
Neuester Kommentar
Zitat von @Alme123:
Das letzte ist das "schlimmste": Der SSL Port kann als Dos Einfallstor dienen.
Mehr Infos auf: https://www.thc.org/thc-ssl-dos/
DOS ist kein Einfallstor.Das letzte ist das "schlimmste": Der SSL Port kann als Dos Einfallstor dienen.
Mehr Infos auf: https://www.thc.org/thc-ssl-dos/
Und dort steht: Es könnte, wenn andere Parameter zusätzlich eingestellt werden, die per default deaktiviert sind, zu einem Einbruch der Performance bei einem gezielten Angriff kommen.
Gruß
Netman
Hi,
eine A- ist doch sehr gut. Das wir "Forward Secrecy" nicht unterstützen liegt an der aktuellen LTS Ubuntu Version von unserem Webserver. Mit dem nächsten Update auf Ubuntu 14.04 LTS ist das Problem behoben. Generell geht da aber keine Gefahr aus.
Die mögliche Gefahr einer Dos durch die "Client-Initiated Renegotiation" wurde von Debian (und damit auch Ubuntu) im Februar 2013 durch einen Patch geschlossen (http://www.pro-linux.de/sicherheit/2/20131/zwei-probleme-in-lighttpd.ht ..). Sie wurden per Default ausgeschaltet. Ab der nächsten LTS Version von Ubuntu sollte der Fehler bei SSL Labs auch nicht mehr angezeigt werden.
Was bleibt ist das Weak "Equifax / Equifax Secure Certificate Authority" - was ich aber nicht ändern kann und was aus meiner Sicht nicht kritisch ist. Ich denke das ist eine Altlast von GeoTrust Global CA. Genau weiß ich das aber auch nicht.
Gruß
Frank
eine A- ist doch sehr gut. Das wir "Forward Secrecy" nicht unterstützen liegt an der aktuellen LTS Ubuntu Version von unserem Webserver. Mit dem nächsten Update auf Ubuntu 14.04 LTS ist das Problem behoben. Generell geht da aber keine Gefahr aus.
Die mögliche Gefahr einer Dos durch die "Client-Initiated Renegotiation" wurde von Debian (und damit auch Ubuntu) im Februar 2013 durch einen Patch geschlossen (http://www.pro-linux.de/sicherheit/2/20131/zwei-probleme-in-lighttpd.ht ..). Sie wurden per Default ausgeschaltet. Ab der nächsten LTS Version von Ubuntu sollte der Fehler bei SSL Labs auch nicht mehr angezeigt werden.
Was bleibt ist das Weak "Equifax / Equifax Secure Certificate Authority" - was ich aber nicht ändern kann und was aus meiner Sicht nicht kritisch ist. Ich denke das ist eine Altlast von GeoTrust Global CA. Genau weiß ich das aber auch nicht.
Gruß
Frank
1
Hi Frank,
danke für die Rückmeldung, wollte nur mal fragen, weil das da so böse dargestellt wurde. :D
Ich habe mich gerade nach "Equifax / Equifax Secure Certificate Authority" erkundigt und es liegt an GeoTrust.
Alme123
[Theard closed]
danke für die Rückmeldung, wollte nur mal fragen, weil das da so böse dargestellt wurde. :D
Ich habe mich gerade nach "Equifax / Equifax Secure Certificate Authority" erkundigt und es liegt an GeoTrust.
Alme123
[Theard closed]
Hi,
so wir haben auf Ubuntu 14.04 LTS migriert und auch das SSL-Zertifikat wurde heute erneuert. Jetzt haben wir bei SSLLabs ein sauberes "A":
https://www.ssllabs.com/ssltest/analyze.html?d=administrator.de
Gruß
Frank
so wir haben auf Ubuntu 14.04 LTS migriert und auch das SSL-Zertifikat wurde heute erneuert. Jetzt haben wir bei SSLLabs ein sauberes "A":
https://www.ssllabs.com/ssltest/analyze.html?d=administrator.de
Gruß
Frank
